五千年(敝帚自珍)

主题:工行网银的安全性 -- 心态

共:💬20 🌺13
全看分页树展 · 主题 跟帖
家园 U盾是一种USB Key

在进行网银这样的网上交易的时候, 通常都会采取SSL作为数据通信保护(当然还有例如表单签名等其它安全手段), 在客户端有一个客户端的数字证书, 在服务端有一个服务端的数字证书, 通信双方通过数字证书识别对方的身份, 以确保交易的秘密性, 完整性和不可否认性.

从上面的描述可以看出, 这个客户端数字证书其实就是你在这个交易里面的身份, 因此对这个数字证书(更准确的说法是这个数字证书的私有密钥)的保护就非常重要了. 私有密钥的丢失或者泄漏其实就相对于您丢失了保险箱钥匙.

U盾其实就是一种USB Key. 与文件型的数字证书不同的地方在于. USB Key的私有密钥是可以做到"不落地", 也就是说, 私有密钥在USB Key里面产生, 可以按照外部的指令要求进行私有密钥的运算, 但是私有密钥本身绝对不可以被导出. 换句话说, 这个私有密钥, 只有这个key知道是什么, 其它人, 包括银行, 也不知道这个私有密钥是什么. 这就最大限度地保护了私有密钥的安全.

文件型的数字证书里面, 私有密钥其实是证书的签发者(例如银行)替你生成的, 这个存在一个安全的隐患: 除了你自己以外, 银行同时也拥有你的私有密钥. 如果银行愿意, 它完全可以伪造你的交易.

我也使用网银, 我是招商银行专业版的用户, 但是我一直还在使用文件型数字证书. 之所以一直没有去搞个USB key是因为:

1)我觉得银行对USB key的要价太黑, 我不愿意当冤大头.

2)我觉得文件型的数字证书虽然存在安全隐患, 但是不是还有取款密码的保护嘛, 俺的卡里也没有多少钱, 风险还是在我可以接受的范围内.

IE是不安全的浏览器, 但是我们的网银统统仅仅支持IE(因为在里面大量使用了ActiveX). 每次为了使用网银, 即使不情愿, 我还是要打开我的IE, 这是让我觉得比较烦的事情.

今天试着上了一下中国银行的网银,结果说他家的certificate还没有被认证是安全的。

这个需要澄清一下, 这个所谓的没有被认证是安全的Certificate其实是没有被IE(Microsoft?)认证, 因此这个认证的权威性您大可忽略. 从技术上的解释就是中国银行网银的根证书还没有被导入, 一旦导入了根证书, IE就不会有这样的抱怨了.

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河